شرکت Fortinet روز چهارشنبه اعلام کرد که «سوءاستفادههای اخیر» از یک آسیبپذیری پنجساله در FortiOS SSL VPN را در دنیای واقعی شناسایی کرده است. این آسیبپذیری با شناسه CVE-2020-12812 و امتیاز شدت 5.2، مربوط به نقص در مکانیزم احراز هویت بوده و میتواند در شرایط خاص باعث شود کاربر بدون نیاز به عبور از مرحله دوم احراز هویت (2FA) وارد سیستم شود.
این نقص زمانی رخ میدهد که احراز هویت دومرحلهای در تنظیمات user local فعال باشد و نوع احراز هویت کاربر به یک روش احراز هویت راهدور مانند LDAP تنظیم شده باشد. در چنین حالتی، اگر کاربر نام کاربری را با حروف بزرگ یا کوچک متفاوت وارد کند، سیستم ممکن است تطابق درستی انجام ندهد.
فورتینت در جولای ۲۰۲۰ توضیح داده بود که این مشکل ناشی از «عدم یکسانسازی حساسیت به حروف بزرگ و کوچک» بین مکانیزم احراز هویت محلی و احراز هویت راهدور است.
بر اساس اعلام جدید، این آسیبپذیری اکنون بهصورت فعال توسط چندین عامل تهدید مورد سوءاستفاده قرار گرفته و حتی دولت ایالات متحده نیز آن را در فهرست ضعفهایی قرار داده که در حملات واقعی علیه تجهیزات لبه شبکه (Perimeter Devices) در سال ۲۰۲۱ مورد بهرهبرداری قرار گرفتهاند.
در هشدار جدیدی که در تاریخ ۲۴ دسامبر ۲۰۲۵ منتشر شده، فورتینت توضیح میدهد که برای سوءاستفاده موفق از این نقص، باید شرایط زیر برقرار باشد:
- وجود حسابهای کاربری محلی روی FortiGate با فعال بودن 2FA و اتصال به LDAP
- عضویت همان کاربران در یک گروه روی سرور LDAP
- پیکربندی حداقل یک گروه LDAP روی FortiGate که باید در یک سیاست احراز هویت (مانند SSL VPN، IPsec یا دسترسی مدیریتی) استفاده شود.
در چنین حالتی، اگر نام کاربری دقیقاً با حروف یکسان وارد نشود، FortiGate قادر به تطبیق آن با کاربر محلی نخواهد بود و به سراغ روشهای دیگر احراز هویت میرود. در نتیجه، احراز هویت از طریق LDAP انجام میشود و محدودیتهای مربوط به 2FA یا حتی غیرفعال بودن حساب محلی نادیده گرفته میشود.
فورتینت در توضیح این رفتار میگوید:
اگر کاربر با نامهایی مانند Jsmith، jSmith، JSMITH یا هر ترکیب دیگری غیر از jsmith وارد شود، FortiGate تطابقی با حساب محلی پیدا نمیکند و به سراغ سایر سیاستهای احراز هویت میرود. در این شرایط، در صورت معتبر بودن نام کاربری و گذرواژه در LDAP، احراز هویت با موفقیت انجام میشود؛ حتی اگر 2FA فعال باشد یا حساب محلی غیرفعال شده باشد.
در نتیجه، این آسیبپذیری میتواند منجر به ورود موفق کاربران مدیریتی یا VPN بدون عبور از احراز هویت دومرحلهای شود.
فورتینت برای رفع این مشکل، نسخههای FortiOS 6.0.10، 6.2.4 و 6.4.1 را در سال ۲۰۲۰ منتشر کرده است. همچنین به سازمانهایی که هنوز از نسخههای قدیمیتر استفاده میکنند توصیه میشود دستور زیر را اجرا کنند:
set username-case-sensitivity disable
برای نسخههای جدیدتر شامل 6.0.13، 6.2.10، 6.4.7 و 7.0.1 به بعد نیز توصیه شده است دستور زیر اجرا شود:
set username-sensitivity disable
به گفته فورتینت، با غیرفعالسازی حساسیت به حروف بزرگ و کوچک، نامهای کاربری مختلف مانند jsmith، JSmith یا JSMITH همگی یکسان در نظر گرفته میشوند و امکان دور زدن سیاستهای امنیتی از بین میرود.
بهعنوان راهکار تکمیلی، فورتینت پیشنهاد میکند در صورت عدم نیاز، گروه LDAP ثانویه بهطور کامل حذف شود؛ چراکه در این صورت اساساً امکان احراز هویت از طریق LDAP وجود نخواهد داشت و تلاش برای ورود با نام کاربری نامعتبر با شکست مواجه میشود.
با این حال، فورتینت جزئیاتی درباره ماهیت دقیق حملات انجامشده یا میزان موفقیت آنها منتشر نکرده است. این شرکت همچنین از مشتریان خواسته در صورتی که نشانهای از ورود غیرمجاز یا احراز هویت بدون 2FA مشاهده کردند، بلافاصله با تیم پشتیبانی تماس بگیرند و تمامی اعتبارنامهها را بازنشانی کنند.